Two-factor authenticatie als onmisbare sleutel in digitale beveiliging

Share this post:

Blog door Peter Volckaert, IT Security Architect.

In juni werd Wired-journalist Matt Honan het slachtoffer van hackers. Zij wisten de controle over Honan’s Twitter-account te bemachtigen, door gaten in de beveiliging van Apple, Amazon en Google te benutten. Het uiteindelijke resultaat: ze sloten zijn Gmail-account, verwijderden zijn iCloud-data en maakten misbruik van zijn Twitter-account door racistische en homofobe boodschappen te verspreiden. Van het ene op het andere moment werd Honan’s digitale identiteit uitgewist.

De oorzaak van deze spraakmakende hack zat voornamelijk in het ontbreken van ‘two-factor’-authenticatie. Een goede authenticatie kan namelijk pas gegarandeerd worden als er ten minste twee factoren gebruikt worden, of dit nou een vingerafdruk, bankpas of wachtwoord is. Toegang tot systemen en applicaties krijg je dus via twee beveiligingsmechanismen: identificatie en authenticatie. Identificatie is hoe je voor de buitenwereld bekend staat, bijvoorbeeld een accountnaam, klantnummer of e-mailadres. Authenticatie is het verifiëren van je identiteit: iets wat je weet (wachtwoord), iets wat je bezit (een ticket voor een evenement) of iets wat je bent (vingerafdruk).

De ervaring leert immers dat wachtwoorden alleen niet genoeg zijn. Bij het internetbankieren kan een aanvullende code gevraagd worden om een transactie te verifiëren. En  Facebook stelt persoonlijke vragen wanneer je vanaf een andere locatie inlogt dan normaal. Door het invullen van wachtwoorden in combinatie met factoren zoals een bankpas, paspoort of vingerafdruk, creëer je een sterke authenticatie. Het kan echter geen kwaad om na te gaan hoe kwetsbaar ze zijn.

Eindgebruiker: neem het heft in eigen hand
Als gebruiker heb je zelf in de hand welk wachtwoord je voor elke toepassing gebruikt. Daarom is het belangrijk om het risico op misbruik van je vertrouwelijke informatie te voorkomen.

• Kies voor elke toepassing een ander wachtwoord. Of doe dit in ieder geval bij de toepassingen die het belangrijkst voor je zijn. Dit vermindert het risico dat criminelen je gegevens voor meerdere toepassingen kunnen misbruiken.
• Verzin wachtwoorden met minimaal acht karakters en verwerk hier cijfers en symbolen in, ook al wordt er niet om gevraagd. Gebruik bij voorkeur wachtwoorden die op geen enkele wijze terug te koppelen zijn aan je persoonlijke informatie of aan de inhoud van een woordenboek.
• Als je aan de eerste twee regels wil voldoen, betekent dit dat je een reeks unieke wachtwoorden zal moeten onthouden. Er zijn een groot aantal gratis tools op het internet te vinden die dit automatisch en veilig voor je kunnen doen. Denk aan tools als KeePass, eWallet, LastPass en Password Safe.

Organisaties: laat veiligheid niet ten koste gaan van gebruiksgemak

Weinig gebruikers staan te trappelen om eindeloze wachtwoordcombinaties te moeten verzinnen die aan de strengste eisen voldoen. Toch dienen gebruikers tegen zichzelf in bescherming te worden genomen, aangezien organisaties vaak als hoofdschuldige worden aangewezen wanneer er sprake is van een wachtwoordkraak. Zelfs als het wachtwoord zich makkelijk liet raden.

• Laat gebruikers een sterk wachtwoord te verzinnen en wijk niet af van het bestaande securitybeleid dat een minimale beveiliging garandeert.
• Draag suggesties aan bij het verzinnen van een goed wachtwoord. Bedenk de juiste samenstelling en laat ze direct weten wanneer een wachtwoord niet voldoet aan de minimale eisen.
• Verplicht gebruikers na een bepaalde periode hun wachtwoord te veranderen. Dit voorkomt dat er misbruik gemaakt wordt van verouderde gegevens die in de verkeerde handen vallen.

Biometrie of wachtwoord?

De ontwikkeling van nieuwe technologieën als biometrische identificatie is de laatste tijd in een stroomversnelling geraakt. Steeds vaker klinkt de hooggespannen verwachting dat gezichts- en spraakherkenning op termijn wachtwoorden gaan vervangen. Dit is onjuist: wachtwoorden zullen nooit volledig uit het straatbeeld verdwijnen. Want niet iedereen staat te trappelen om zijn biometrische gegevens op te slaan in een database, stemgeluid kan veranderlijk zijn en ook lichamelijke kenmerken veranderen in de loop der jaren. Daarom delen organisaties en eindgebruikers de verantwoordelijkheid om het cybercriminelen zo moeilijk mogelijk te maken via het aloude, maar beproefde wachtwoord.